統(tǒng)一認證授權(quán)項目v3

1、目錄1.xxx介紹31.1.公司簡介31.2.產(chǎn)品概述31.3.歷史經(jīng)驗和成績42.AccessMatrix平臺總體架構(gòu)82.1.AccessMatrix產(chǎn)品架構(gòu)82.2.客戶統(tǒng)一生物認證平臺基礎(chǔ)架構(gòu)102.3.分層分區(qū)管理和授權(quán)框架132.4.通用的企業(yè)安全架構(gòu)162.4.1.安全注冊表組件162.4.2.安全服務(wù)器組件172.4.3.管理接口182.4.4.安全連接182.5.產(chǎn)品數(shù)據(jù)全景圖192.6.開放接口全景圖212.7.通用的安全部署架構(gòu)222.7.1.多平臺支持232.7.2.商業(yè)益處242.7.3.技術(shù)益處242.8.產(chǎn)品優(yōu)勢242.8.1.可靠性242.8.2.靈活可擴展的架

2、構(gòu)252.8.3.基于分層分區(qū)的分段管理和委托授權(quán)252.8.4.高度集成化252.8.5.授權(quán)管理252.8.6.靈活的認證服務(wù)252.8.7.可信的合作伙伴的技術(shù)整合262.8.8.最佳實踐262.8.9.高可用性263.統(tǒng)一單點登錄和授權(quán)管理263.1.數(shù)據(jù)間交互流程圖263.2.系統(tǒng)集成改造工作273.2.1.統(tǒng)一身份管理集成接口273.2.2.單點登錄集成283.3.主用戶同步機制313.3.1.統(tǒng)一數(shù)據(jù)源服務(wù)313.3.2.數(shù)據(jù)同步服務(wù)313.4.用戶屬性自定義、用戶信息傳遞323.5.SAML協(xié)議和OAUTH協(xié)議使用，選擇和考慮323.5.1.SAML協(xié)議說明323.5.2.SA

3、ML協(xié)議343.5.3.OAUTH協(xié)議說明343.5.4.補充說明353.6.用戶并發(fā)能力353.7.與既有單點登錄系統(tǒng)集成361. xxx介紹1.1. 公司簡介北京xxx（簡稱“xxx”）是國內(nèi)身份認證、身份管理和訪問控制管理（IAM）安全解決方案領(lǐng)跑者，是專注于為全球金融機構(gòu)、政府部門和高安全敏感環(huán)境提供身份管理及認證、特權(quán)憑證和訪問控制管理解決方案的本土提供商。xxx的安全解決方案已成功應(yīng)用于眾多銀行、保險、政府、制造業(yè)、物流、媒體、醫(yī)療、教育機構(gòu)及大型跨國公司。在超過50家世界領(lǐng)先金融機構(gòu)和超過200家銀行成功部署，反映了即便是對信息科技環(huán)境要求最嚴格的金融服務(wù)及保險業(yè)，其世界級技術(shù)仍

4、可協(xié)助客戶提升企業(yè)信息安全的水平。xxx擁有自主知識產(chǎn)權(quán)和專利，可以對產(chǎn)品進行靈活改造以適應(yīng)用戶的定置化需求；擁有各種資質(zhì)證書，滿足中國安全市場業(yè)務(wù)需求，以及本地法規(guī)的監(jiān)管要求和用戶需求。1.2. 產(chǎn)品概述xxx專注于為全球高安全性敏感環(huán)境的企業(yè)提供憑證管理和強身份認證解決方案。主要產(chǎn)品AccessMatrix是一套整合的企業(yè)級安全解決方案，讓客戶能夠有效地部署委托授權(quán)管理、細粒度權(quán)限管理、統(tǒng)一認證、統(tǒng)一單點登錄和安全憑證管理服務(wù)。xxx的解決方案以分層分區(qū)的專利技術(shù)為核心，能夠有效地處理一個組織或多個組織內(nèi)龐大的用戶群在憑證管理和強認證方面的需求和挑戰(zhàn)。它提供了可配置的訪問控制、身份認證和審

5、計策略，以滿足對用戶、應(yīng)用程序和終端設(shè)備的最嚴格的安全管理要求，提供端對端的安全解決方案。AccessMatrix是一個結(jié)構(gòu)化的產(chǎn)品，通過靈活的配置提供實用和強大的功能，滿足大型企事業(yè)單位信息安全管理的需求；它為IT安全管理人員提供全面的、集中化的策略管理服務(wù)，使他們方便有效地管理用戶、系統(tǒng)，實現(xiàn)貫穿整個企業(yè)的安全策略。整體上，AccessMatrix 安全認證管理平臺具有以下的特點：à 為用戶提供集中化的認證、授權(quán)和審計服務(wù)，使他們安全地訪問不同的業(yè)務(wù)應(yīng)用系統(tǒng)和企業(yè)資源；à 為管理人員提供全面的集中策略管理服務(wù)，使他們方便有效地管理應(yīng)用系統(tǒng)的訪問許可、用戶權(quán)限和貫穿整個企

6、業(yè)的安全策略。à 為企業(yè)提供雙重控制權(quán)限，讓職責(zé)分離。從系統(tǒng)基礎(chǔ)搭建開始都不需要超級用戶，而是設(shè)置了各種細粒度的角色和權(quán)限。1.3. 歷史經(jīng)驗和成績 xxx現(xiàn)在保護著超過10萬億美元的各類資產(chǎn)，其中包括新加坡最大的兩家國際銀行和世界上最大的瑞士私人銀行以及日本最優(yōu)秀的一家銀行。 我們的專利分層分區(qū)管理模式，極大的方便了企業(yè)根據(jù)各自部門的特點來進行安全方便的管理，有助于加強安全性和降低運營成本。用戶要求的解決方案正是我們xxx所擁有的，所有的知識產(chǎn)權(quán)和領(lǐng)域技術(shù)都是xxx通過金融行業(yè)多年的創(chuàng)新和發(fā)展積累而得來的。下表所列的是我們的一些客戶（部分客戶）：解決方案xxx 產(chǎn)品客戶名稱國家統(tǒng)一

7、身份認證和訪問控制AccessMatrix UAS USO UAM UIM中銀保險中國統(tǒng)一身份認證和訪問控制AccessMatrix UAS USO UAM 哈爾濱銀行中國統(tǒng)一身份認證和訪問控制AccessMatrix UAS USO UAM 蘭州銀行中國統(tǒng)一身份認證和特權(quán)賬號管理AccessMatrix UAS UCM 漢口銀行中國統(tǒng)一身份認證和特權(quán)賬號管理AccessMatrix UAS USO UCM泰安商行中國統(tǒng)一身份認證和訪問控制AccessMatrix UCM USO承德商行中國統(tǒng)一身份認證項目AM UAS大連銀行中國統(tǒng)一身份認證和特權(quán)賬號管理AccessMatrix UCM中國銀

8、行北京分行中國特權(quán)密碼管理系統(tǒng)AccessMatrix UCMBank of Ningbo Co., Ltd.寧波銀行中國統(tǒng)一認證和訪問權(quán)限管理系統(tǒng)AccessMatrix UAS USOBTV 北京電視臺中國統(tǒng)一用戶接入認證系統(tǒng)AccessMatrix UASChina Unicom中國聯(lián)通中國網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASNanyang Commercial Bank南洋商業(yè)銀行中國, 香港網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBank of China, Hong Kong中國銀行香港分行香港員工單一登錄AccessMatrix USOAE

9、ON Credit Services, Hong Kong永旺信貸服務(wù)香港通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix UAS, USO, UAM United Overseas Bank Limited大華銀行新加坡,馬來西亞, 泰國, 中國, 香港通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix USO & UAMKasikorn Bank, Thailand泰農(nóng)銀行泰國通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix UAS & UAMWorld Largest Bank花旗集團全球通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix UAS & UASInland Re

10、venue Authority of Singapore 新加坡國稅局新加坡通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix UAS & UAMKrung Thai Bank, Thailand泰京銀行泰國通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix UAMBankruptcy Court, Malaysia馬來西亞破產(chǎn)法庭馬來西亞通用應(yīng)用系統(tǒng)的安全平臺AccessMatrix UAMFishery Department, Malaysia馬來西亞漁政部馬來西亞網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBank of Singapore, Singapore新加坡銀行新

11、加坡網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASMaybank, Singapore馬來亞銀行新加坡網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBank of India, Singapore印度銀行新加坡網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBank Islam 伊斯蘭發(fā)展銀行文萊網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASCIMB Thai, Thailand聯(lián)昌泰國銀行泰國網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASCitic Bank International花旗銀行國際新加坡, 香港網(wǎng)上銀行應(yīng)用的通用安全平

12、臺AccessMatrix UASVID Public Bank西元大眾銀行越南網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBAOViet Bank越南寶越銀行越南網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBIDV Bank越南投資發(fā)展銀行越南網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASAM Bank, Malaysia馬來西亞網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASAIA 友邦保險新加坡, 泰國網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASBank Julius Baer瑞士寶盛銀行亞太區(qū)網(wǎng)上銀行應(yīng)用的通用安全平臺Ac

13、cessMatrix UASUSB A.G.瑞士銀行亞太區(qū)網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASMSIG, Singapore三井住友海上保險新加坡網(wǎng)上銀行應(yīng)用的通用安全平臺AccessMatrix UASAviva, Singapore英杰華保險新加坡員工單一登錄AccessMatrix USOTMB Bank, Thailand泰國TMB銀行泰國員工單一登錄AccessMatrix USOShinshei Bank, Japan日本新生銀行日本員工單一登錄AccessMatrix USOResona Bank, Japan日本大和銀行日本2. AccessMatrix平

14、臺總體架構(gòu)2.1. AccessMatrix產(chǎn)品架構(gòu)AccessMatrix擁有一個通用開放的基礎(chǔ)平臺，在此基礎(chǔ)上提供不同的產(chǎn)品模塊，構(gòu)建了一個基于帳號（Account）管理、認證（Authentication）管理、授權(quán)（Authorization）管理和安全審計（Audit）的4A整體安全管理解決方案，其產(chǎn)品架構(gòu)如下圖所示。 AccessMatrix 安全認證管理平臺產(chǎn)品架構(gòu)示意圖xxx目前為AccessMatrix平臺提供的產(chǎn)品模塊是：通用認證管理（UAS）、通用登錄管理（USO）、通用憑證管理（UCM）、通用訪問管理（UAM）。各模塊的作用是：à 通用認證管理系統(tǒng)（UAS）提

15、供統(tǒng)一的身份認證和管理平臺，使企業(yè)可以搭建一個統(tǒng)一的認證體系。能夠支持多種認證方式，包括目前流行的靜態(tài)口令、動態(tài)口令OTP、PKI證書認證、SMS口令等，并提供PAM模塊易于集成未來新的認證方式。雙因素認證方式的實現(xiàn)，提高了系統(tǒng)認證的安全級別。à 通用登錄管理系統(tǒng)（USO）USO是一個非嵌入式的單點登錄解決方案，它可以讓客戶只登錄一次，就可以無縫訪問眾多加入USO的C/S系統(tǒng)和B/S系統(tǒng)。用戶可以在對應(yīng)用系統(tǒng)源代碼不做任何改變的情況下，方便、快速、安全的實現(xiàn)施單點登錄系統(tǒng)，大大提升了認證的效率。à 通用憑證管理系統(tǒng)（UCM）UCM是一套用于網(wǎng)絡(luò)、主機、數(shù)據(jù)庫、應(yīng)用系統(tǒng)的特權(quán)

16、共享賬號（如root、admin等）的統(tǒng)一管理平臺。基于Web的特權(quán)帳戶管理解決方案與多層次審批流程機制，讓用戶可以嚴格管理特權(quán)共享賬號和密碼的使用，解決了以往系統(tǒng)管理員賬號由多人知曉、使用不受控制并導(dǎo)致信息和數(shù)據(jù)泄露的問題。同時也解決了應(yīng)用系統(tǒng)對數(shù)據(jù)庫連接的賬號密碼的定期更換的問題。à 通用訪問控制管理（UAM）UAM 提供了一套完整的支持Web服務(wù)、Java和.NET的API，使得開發(fā)人員能高效的開發(fā)有關(guān)安全管理、認證、授權(quán)和審計（4A）服務(wù)，大大降低集成的工作量。所有的與安全相關(guān)的業(yè)務(wù)規(guī)則都在AccessMatrix中定義和管理，無需在應(yīng)用系統(tǒng)中進行任何的硬編碼，因此UAM極大

17、的提高了軟件的復(fù)用性，降低維護和支持的成本。à 通用身份管理系統(tǒng)（UIM）UIM可以管理用戶完整生命周期及異構(gòu)IT環(huán)境下的訪問權(quán)限。UIM提供了一個安全、自動而且基于策略的用戶管理解決方案，滿足客戶無論是在原有的IT環(huán)境還是電子商務(wù)時代的IT環(huán)境下將企業(yè)的核心業(yè)務(wù)展現(xiàn)給客戶、供應(yīng)商、合作伙伴甚至競爭對手的需求。UIM是一種具有高度靈活性和擴展能力的企業(yè)身份管理系統(tǒng)，可用于管理用戶在企業(yè)IT資源中的訪問權(quán)限。并且UIM包含一個工作流引擎，可規(guī)范企業(yè)審批管理流程，實現(xiàn)用戶管理的自動化。2.2. 客戶統(tǒng)一生物認證平臺基礎(chǔ)架構(gòu)下面的圖說明了xxx提交給用戶銀行的統(tǒng)一身份認證和訪問權(quán)限管理基礎(chǔ)

18、架構(gòu)。 基礎(chǔ)架構(gòu)圖我們所建議的架構(gòu)是基于AccessMatrix新一代企業(yè)訪問控制、單點登錄和安全管理的通用平臺。AccessMatrix 是一個訪問管理解決方案的集成套件，它是由熟悉國內(nèi)外銀行業(yè)安全專業(yè)人員所設(shè)計和開發(fā)的，更能符合銀行業(yè)市場的需求。在AccessMatrix的產(chǎn)品內(nèi)都嵌入了“審計”和適應(yīng)銀行業(yè)的特殊功能，以滿足內(nèi)部和外部審計，以及金融行業(yè)和政府監(jiān)管的要求，這個集成的安全解決方案套件，將符合用戶當(dāng)前和未來的業(yè)務(wù)要求和政策法規(guī)的要求。AccessMatrix采用Java技術(shù)、開放架構(gòu)、靈活的框架和最新的技術(shù)，提供了一個通用的安全管理平臺，以滿足一個完整的企業(yè)4A安全服務(wù)，即管理、

19、認證、授權(quán)和審計需求，包括所有業(yè)務(wù)應(yīng)用系統(tǒng)（Web和非Web）及多種交付渠道。它同時提供了金融行業(yè)的最佳實踐和理念：最小權(quán)限、無超級用戶、雙重控制和職責(zé)分離。AccessMatrix可以使用戶利用一個公共的安全平臺為其它重要的應(yīng)用系統(tǒng)提供安全的服務(wù)，來確保應(yīng)用系統(tǒng)的安全性。取決于銀行的安全策略和業(yè)務(wù)經(jīng)濟性綜合考慮，銀行可能要實施各種不同的雙因素認證設(shè)備（如指紋、令牌、PKI等）。根據(jù)內(nèi)部和外部的安全要求，以及行業(yè)法規(guī)的要求，銀行關(guān)于身份認證的安全策略會不斷改變，因此采用一個靈活的和適應(yīng)性強的認證體系來滿足業(yè)務(wù)發(fā)展和法規(guī)要求是非常重要的。xxx的安全解決方案采取“令牌無關(guān)性”的方案以及靈活的接口

20、，可以使我們安全地與Vasco、RSA、Yeskey等令牌，和/或與其它的多因素認證廠商（指紋、虹膜等）集成，并同時維持最新的技術(shù)來保證安全性和法規(guī)符合性。通過AccessMatrix UAS模塊，用戶可以利用一個通用的身份認證服務(wù)基礎(chǔ)架構(gòu)，來安全地整合到各種身份認證機制，這將確保銀行現(xiàn)有和未來的2FA設(shè)備和其它生物識別身份驗證機制都可以部署到AccessMatrix UAS中，從而實現(xiàn)最大金融性，也可以節(jié)省過去企業(yè)的投資。采用我們通用安全平臺的方法，AccessMatrix確保安全地整合“各種身份認證機制”到一個通用平臺，同時也使用戶奠定了一個基礎(chǔ)，并提供了一個路線圖，以幫助他們實現(xiàn)“安全整

21、合”。安全整合是xxx的核心安全理念，我們協(xié)助客戶采取一種漸進的、創(chuàng)新和策略的辦法，基于一個共同的安全基礎(chǔ)架構(gòu)，來解決應(yīng)用系統(tǒng)的安全需求。通過提供一整套集成的解決方案，我們可以通過一個共同的安全基礎(chǔ)架構(gòu)，從戰(zhàn)略上和戰(zhàn)術(shù)上來滿足用戶銀行的業(yè)務(wù)要求。功能摘要:提升應(yīng)用系統(tǒng)安全有關(guān)安全的業(yè)務(wù)規(guī)則是在AccessMatrix中定義和管理的，以避免在應(yīng)用系統(tǒng)中代碼被寫死。AccessMatrix提供一個靈活和符合成本效益的架構(gòu)，來管理訪問權(quán)限和業(yè)務(wù)規(guī)則，這樣的安全架構(gòu)，可加快應(yīng)用開發(fā)，促進更好的軟件復(fù)用，減少了應(yīng)用系統(tǒng)的維護工作。多層應(yīng)用系統(tǒng)支持安全框架支持多層應(yīng)用環(huán)境，使企業(yè)能夠部署一個單一的安全基礎(chǔ)

22、架構(gòu)，來支持Web和非Web的應(yīng)用。整合Web服務(wù)器和應(yīng)用服務(wù)器的靈活性，降低了應(yīng)用系統(tǒng)設(shè)計的復(fù)雜性，增強了企業(yè)內(nèi)部的安全。啟用單點登錄AccessMatrix為企業(yè)所有基于Web的應(yīng)用提供了單點登錄能力。此功能可擴展跨越多個域，以解決當(dāng)前Web環(huán)境的限制。簡化用戶管理由AccessMatrix定義了用戶及其權(quán)限，它提供了一個獨特而有效的的方法來管理用戶對企業(yè)內(nèi)應(yīng)用系統(tǒng)的訪問。榮獲專利的分層分區(qū)的安全管理手段與授權(quán)框架，使企業(yè)可以在任何一個組織架構(gòu)層級指定安全管理員。本地安全管理員的管理權(quán)限可以定義粒度級別，以提高安全性，降低管理成本。這種創(chuàng)新的架構(gòu)允許在本地一級管理用戶的ID/密碼和權(quán)限。這

23、個層次化管理模型可以擴展到包括外部的組織，如客戶和業(yè)務(wù)伙伴，啟用他們自己的安全管理員來管理他們的用戶ID和用戶權(quán)限管理，在保證安全性的前提下，大大降低了管理的復(fù)雜性。AccessMatrix可以利用企業(yè)現(xiàn)有的用戶注冊表，例如：LDAP、 Microsoft AD Domain 或 Active Directory, 無需進行用戶同步及重復(fù)用戶維護工作，進一步簡化用戶管理。這種整合方式，大大簡化了整個企業(yè)的實施工作。實施企業(yè)范圍的安全策略AccessMatrix可以定義和管理企業(yè)范圍的安全策略，用層次化的分段方式反映一個公司現(xiàn)有的組織結(jié)構(gòu)。因此，我們可以從公司總部到所有子公司、部門和其他內(nèi)部和外

24、部業(yè)務(wù)單位全方位部署控制和安全策略。內(nèi)置最佳的安全實踐與規(guī)則AccessMatrix支持最小特權(quán)管理的權(quán)責(zé)分離的原則。該產(chǎn)品清晰地劃分出安全管理和系統(tǒng)管理兩個不同的工作功能。安全管理員根據(jù)工作職能，按粒度分配管理權(quán)限。對于段和子段的安全管理權(quán)限范圍是有限的。不同于其他產(chǎn)品，AccessMatrix能夠明確指定所管理權(quán)限的粒度范圍，可使用雙重（核對）控制機制，以進一步確保一個管理員提交的修改生效前，必須由另外一個管理員進行批準(zhǔn)。此外，AccessMatrix還可以確保相同的用戶不會指定多個角色，而導(dǎo)致利益沖突。2.3. 分層分區(qū)管理和授權(quán)框架 如前所述，AccessMatrix構(gòu)架是基于xxx的

25、專利技術(shù)“分層分區(qū)安全管理和授權(quán)框架”設(shè)計的。應(yīng)用我們的專利技術(shù)，AccessMatrix 有效地解決了單個企業(yè)內(nèi)部，或者跨企業(yè)間，大量用戶群的安全管理問題。應(yīng)用AccessMatrix，企業(yè)客戶便可以毫不費力地定義代表其相關(guān)操作的區(qū)段，然后便可以定義和管理相應(yīng)的安全管理策略、管理員、用戶和應(yīng)用系統(tǒng)等。 AccessMatrix 構(gòu)架允許：Ø 企業(yè)結(jié)構(gòu)之定義該企業(yè)的結(jié)構(gòu)可吻合地定義在策略數(shù)據(jù)庫中。Ø 安全/用戶管理員角色之委托安全/用戶管理員可以被賦予該企業(yè)任一等級的角色，也可以在一個明確定義的作用域里被賦予要完成該工作所需要的最小權(quán)限。Ø 安全策略之實現(xiàn)安全策略

26、例如口令規(guī)則等可定義在根區(qū)段中（公司總部），而后被繼承到下級區(qū)段。這就允許安全策略在整個企業(yè)中輕易地實現(xiàn)。Ø 外部數(shù)據(jù)庫用戶之集成外部認證數(shù)據(jù)庫可以對應(yīng)到任何一個等級的區(qū)段。這就允許定義在不同區(qū)段的不同用戶采用不同的認證服務(wù)器去認證，例如微軟的AD、IBM、SUN目錄服務(wù)器等。另外，這些外部數(shù)據(jù)庫用戶的登入訊息都可通過標(biāo)準(zhǔn)的適配器的實現(xiàn)與AccessMatrix的策略數(shù)據(jù)庫同步。如果用戶的同步需求不能通過標(biāo)準(zhǔn)的適配器來滿足，那就必需通過客戶化的適配器來滿足。下面是基于當(dāng)前我們對用戶已有的企業(yè)框架的理解，對用戶企業(yè)層次結(jié)構(gòu)設(shè)計的一個初始描述圖:建議戰(zhàn)略性企業(yè)層次結(jié)構(gòu)以上的AccessM

27、atrix 安全基礎(chǔ)架構(gòu)和安全產(chǎn)品可滿足用戶銀行對管理，認證，授權(quán)，審計的安全需求。q 管理AccessMatrix提供基于xxx專利的分層分區(qū)管理模式來管理安全策略、用戶、權(quán)限和應(yīng)用等。AccessMatrix提供基于GUI和基于Web的兩種管理界面。在 AccessMatrix里, 區(qū)段（Segment）是一個基本的管理單元。用戶、組群、應(yīng)用系統(tǒng)和子區(qū)段都可以被定義在區(qū)段里。例如，一個區(qū)段可代表一個機構(gòu)的一個部門，被這個部門管理的應(yīng)用系統(tǒng)和系統(tǒng)就可以被定義為這個區(qū)段的“應(yīng)用系統(tǒng)”節(jié)點；該部門的用戶和他們所在部門的組群相應(yīng)地可以被定義為該區(qū)段的“用戶”節(jié)點和“組群”節(jié)點。 管理員和安全策略也

28、可以定義在區(qū)段層。 管理員被賦予適當(dāng)?shù)墓芾斫巧?，賦予的管理角色的有效范圍則是和各自的管理角色所詳細規(guī)定的授權(quán)項相關(guān)聯(lián)的。為了減少安全管理的費用，用戶銀行可以把一些管理功能授權(quán)給不同層次的管理員，這些不同層次的管理員都是為各個部門甚至外部客戶而定義的。 為確保責(zé)任可追究性，應(yīng)使用雙重控制使得管理員單方面的修改請求未得到另外的管理員評審和核準(zhǔn)之前不能完成。q 認證AccessMatrix UAS 實現(xiàn)了靈活的認證插件模塊以支持多種認證方法，例如一次性口令和電子證書。基于商業(yè)和安全需求，經(jīng)批準(zhǔn)的安全管理員可以設(shè)置或改變認證的方法（通過AccessMatrix管理界面 策略編輯器），而不需要去改變應(yīng)用

29、系統(tǒng)的源代碼。 建議單個用戶或者公司應(yīng)該用一種更強有力的認證方法，例如智能卡或SIM卡中的數(shù)字憑證?，F(xiàn)在，AccessMatrix UAS 端對端加密模塊已經(jīng)能夠提供對用戶憑證的端對端的保護。q 授權(quán)一旦用戶身份經(jīng)過鑒別，AccessMatrix就會確保僅經(jīng)過授權(quán)的用戶可以訪問應(yīng)用系統(tǒng)和其功能，并且還要基于該用戶的角色、屬性和其他的策略信息諸如時間和地域限制。 基于xxx專利的分層分區(qū)安全管理和授權(quán)框架，AccessMatrix 為Web應(yīng)用系統(tǒng)和非Web應(yīng)用系統(tǒng)提供了更細粒度的訪問控制，從應(yīng)用系統(tǒng)、對象、方法一直到參數(shù)層。q 審計AccessMatrix 記錄普通用戶和管理員所執(zhí)行的活動。記

30、錄的活動包括：Ø 相關(guān)的行為:- 登錄- 修改密碼- 對象的訪問- 安全管理活動Ø 事件類型:- 成功- 失敗記錄的其它日志信息包括:Ø 用戶標(biāo)識Ø 時間戳Ø 用戶所處的位置Ø 用戶所訪問的對象Ø 管理活動的詳細信息2.4. 通用的企業(yè)安全架構(gòu)下面的圖說明了xxx給用戶的基于AccessMatrix通用的企業(yè)安全解決方案的建議框架。 建議的AccessMatrix 通用的企業(yè)安全架構(gòu)2.4.1. 安全注冊表組件安全注冊表是AccessMatrix核心安全數(shù)據(jù)庫，該數(shù)據(jù)庫可以兼容JDBC的關(guān)系型數(shù)據(jù)庫，如Oracle，MS S

31、QL Server等。策略注冊表中包含的安全策略、用戶的權(quán)限和應(yīng)用系統(tǒng)的訪問控制權(quán)限等，這是默認的安全注冊表，策略注冊表數(shù)據(jù)庫是在安裝階段決定的。認證注冊表包含有關(guān)用戶的密碼信息，如密碼等，這可能是默認安全注冊表的一部分，或者是外部的注冊表，如LDAP數(shù)據(jù)庫或NT域數(shù)據(jù)庫。身份認證的注冊表數(shù)據(jù)庫是在每個區(qū)段定義的。有兩個邏輯安全注冊表，每個都有不同的內(nèi)容：l 策略注冊表策略注冊表中包含的安全策略、用戶的權(quán)限和應(yīng)用系統(tǒng)的訪問控制權(quán)限等，這是默認的安全注冊表，策略注冊表數(shù)據(jù)庫是在安裝階段決定的。l 認證注冊表認證注冊表包含有關(guān)用戶的密碼信息，如密碼等，這可能是默認安全注冊表的一部分，或者是外部的注

32、冊表，如LDAP數(shù)據(jù)庫或NT域數(shù)據(jù)庫。身份認證的注冊表數(shù)據(jù)庫是在每個區(qū)段定義的。2.4.2. 安全服務(wù)器組件訪問管理器 AM AM是AccessMatrix系統(tǒng)的最重要安全服務(wù)器，它通過提供以下安全服務(wù)管理訪問控制：l 認證服務(wù)它支持多種身份驗證機制，例如，靜態(tài)密碼、數(shù)字證書、動態(tài)密碼等用戶認證。 AccessMatrix認證服務(wù)是根據(jù)可插拔驗證模塊（PAM）的標(biāo)準(zhǔn)實施。l 管理服務(wù)AM服務(wù)器還允許安全管理員管理整個組織的安全策略、用戶和應(yīng)用系統(tǒng)等。精細的管理權(quán)限可分配給管理員，他們可以通過管理界面來完成相應(yīng)的管理工作。2.4.3. 管理接口管理控制臺這是用戶的個人信息管理和安全管理GUI工具

33、。它允許管理員創(chuàng)建用戶、分配用戶權(quán)限/屬性、定義應(yīng)用系統(tǒng)、令牌管理和管理安全策略等。2.4.4. 安全連接AccessMatrix所有組件之間的所有連接使用標(biāo)準(zhǔn)的SSL協(xié)議，它提供了基于PKI的成熟的相互認證，保證信息相互之間傳遞的保密性和完整性。AccessMatrix設(shè)計為允許選擇各種加密強度和加密庫，默認的密碼庫是SUN公司的JCE。2.5. 產(chǎn)品數(shù)據(jù)全景圖 2.6. 開放接口全景圖AccessMatrix是一套集企業(yè)應(yīng)用程序存取控制，單點登錄及安全管理于一身的系統(tǒng)。借助AccessMatrix技術(shù)力量，產(chǎn)品提供的安全管理，認證，授權(quán)以及審計服務(wù)，即4A，為您的企業(yè)內(nèi)部的商業(yè)運作實現(xiàn)了最

34、為嚴格的應(yīng)用安全模式。通過與應(yīng)用程序的嚴密整合，能使多種應(yīng)用程序來共同實現(xiàn)統(tǒng)一的安全服務(wù)。AM提供靈活的APIs安全系統(tǒng)以及代理技術(shù)和一整套APIs安全系統(tǒng)為開發(fā)人員提供了高度集成的網(wǎng)絡(luò)和非網(wǎng)絡(luò)應(yīng)用程序?；诠芾韱T設(shè)置的安全準(zhǔn)入控制規(guī)則，UAM的網(wǎng)絡(luò)安全代理(WSA) 和應(yīng)用安全代理(ASA)允許企業(yè)使用在網(wǎng)內(nèi)服務(wù)器和應(yīng)用程序服務(wù)器上的資源。這種中央集成的認證和授權(quán)規(guī)則大大的簡化了用戶管理以及系統(tǒng)整合的工作。xxx提供的接口遵循XML-RPC和SOAP協(xié)議，AccessMatrix 安全服務(wù)器使用Java 技術(shù)與標(biāo)準(zhǔn)，能在任何支持Java運行環(huán)境的平臺上執(zhí)行。提供的接口靈活好用，詳細技術(shù)參數(shù)參

35、見SDK相關(guān)文檔。2.7. 通用的安全部署架構(gòu)AccessMatrix的配置布局已經(jīng)考慮到了對故障恢復(fù)的支持，這樣一來就可以避免單點故障而使系統(tǒng)失敗。建議的這套系統(tǒng)不但節(jié)約費用，性能可靠，而且可以實現(xiàn)高效的錯誤恢復(fù)。 該系統(tǒng)提供極為靈活的服務(wù)平臺及數(shù)據(jù)中心級的服務(wù)器，并且具高度擴展性和允許升級，以滿足未來服務(wù)器負載增加的需求。如下圖所示：2.7.1. 多平臺支持AccessMatrix 服務(wù)器軟件可以部署在各種操作系統(tǒng)環(huán)境、應(yīng)用服務(wù)器和數(shù)據(jù)庫。客戶可以選擇特定的部署平臺，部署AccessMatrix系統(tǒng)。支持的服務(wù)器操作系統(tǒng)：Ø IBM AIXØ Sun的Solaris&#

36、216; Linux的Ø Windows服務(wù)器2003 /2008Ø ZOS支持的RDBMS：Ø 微軟SQL服務(wù)器Ø MySqlØ Oracle 9i/10g/11i/12CØ IBM DB2支持的WebAppServer：Ø Oracle WebLogic應(yīng)用服務(wù)器Ø IBM WebSphere應(yīng)用服務(wù)器Ø SUN ONE 應(yīng)用服務(wù)器Ø Apache Tomcat服務(wù)器2.7.2. 商業(yè)益處 Ø 利用一個通用的安全和接入體系架構(gòu)，從而減少銀行向市場推出新產(chǎn)品及服務(wù)的時間Ø

37、提供客戶一個訪問不同應(yīng)用系統(tǒng)的共同和一致的體驗Ø 通過一個通用接口，簡化公司管理用戶訪問不同系統(tǒng)的授權(quán)工作Ø 減少用戶注冊時間和避免用戶重復(fù)注冊于不同的應(yīng)用系統(tǒng)，因此簡化了用戶注冊的過程2.7.3. 技術(shù)益處Ø 通過一個通用的訪問控制、身份驗證和授權(quán)基礎(chǔ)架構(gòu)，以達到相對大的經(jīng)濟規(guī)模，大幅度地提高了投資回報。Ø 提供一個標(biāo)準(zhǔn)流程，來集成新的銀行產(chǎn)品、服務(wù)及應(yīng)用系統(tǒng)，以減少整合與維護的成本。Ø 確保應(yīng)用系統(tǒng)之間的安全合規(guī)性，并能夠快速響應(yīng)網(wǎng)上銀行法規(guī)和網(wǎng)上詐騙不斷變化的需求。Ø 通過一個共同管理界面，優(yōu)化用戶及授權(quán)的管理流程，并提高效率。

38、2.8. 產(chǎn)品優(yōu)勢2.8.1. 可靠性 xxx公司提供了可擴展的、靈活的、完整的，已經(jīng)被許多全球性和區(qū)域性大型企業(yè)證明過的可靠解決方案，保護的資產(chǎn)超過1.6萬億美元。AccessMatrix已有的大量高端企業(yè)的成功案例，大大降低項目實施的風(fēng)險。2.8.2. 靈活可擴展的架構(gòu) AccessMatrix技術(shù)體系架構(gòu)已被許多大型企業(yè)和政府機構(gòu)的大規(guī)模部署所證實，無論縱向和橫向擴展的支持，針對高安全性要求的環(huán)境，AccessMatrix都可以靈活部署。2.8.3. 基于分層分區(qū)的分段管理和委托授權(quán) AccessMatrix為安全管理員提供強大的管理功能，以方便和有效地管理應(yīng)用系統(tǒng)的權(quán)限、用戶權(quán)限和整個

39、組織的安全政策。通過分層分區(qū)的管理和授權(quán)框架，可以靈活的通過按照部門進行用戶授權(quán)管理，從而在保證安全性和可靠性的前提下，大大降低了運營成本。2.8.4. 高度集成化 AccessMatrix平臺提供單點登錄，并支持多種認證方法。通過AccessMatrix管理平臺，讓用戶方便的更改應(yīng)用系統(tǒng)的身份認證方法，而無需更改應(yīng)用系統(tǒng)。2.8.5. 授權(quán)管理 我們AccessMatrix平臺提供組織中的用戶權(quán)限的集中統(tǒng)一視圖。方便大型組織機構(gòu)跨多個應(yīng)用系統(tǒng)的用戶訪問權(quán)限設(shè)定。2.8.6. 靈活的認證服務(wù)AccessMatrix實現(xiàn)可插拔驗證模塊（PAM）框架，以支持各種不同的認證機制，例如：靜態(tài)密碼、動態(tài)

40、或一次性密碼等。客戶可以靈活方便的使用已有的或者新的認證方法。2.8.7. 可信的合作伙伴的技術(shù)整合 AccessMatrix支持硬件安全模塊HSM的整合，提供對密鑰的保護/管理，以滿足PIN和密碼的端到端的安全性要求。HSM和雙因素設(shè)備可以由客戶選擇，滿足國家或行業(yè)的監(jiān)管要求。2.8.8. 最佳實踐 AccessMatrix平臺內(nèi)置高安全管理功能：職責(zé)分離、最小權(quán)限和雙重控制（Make/Check）等來增強運維的安全性和降低管理的復(fù)雜性， AccessMatrix從設(shè)計開始就構(gòu)筑這種理念，以避免使用超級用戶。2.8.9. 高可用性AccessMatrix具有內(nèi)置的支持自動故障切換的技術(shù)來保證

41、的系統(tǒng)的可靠性、可用性和可擴展性的要求。3. 統(tǒng)一單點登錄和授權(quán)管理3.1. 數(shù)據(jù)間交互流程圖業(yè)務(wù)系統(tǒng)通過改造和協(xié)議形式實現(xiàn)單點登錄和授權(quán)的數(shù)據(jù)間交互流程,如下圖所示.3.2. 系統(tǒng)集成改造工作關(guān)于系統(tǒng)改造集成的說明,具體如下.3.2.1. 統(tǒng)一身份管理集成接口. webserver接口提供統(tǒng)一的webserver接口，應(yīng)用系統(tǒng)通過調(diào)用接口獲得用戶和組織機構(gòu)信息的增、刪、改、查。. 連接器通過連接器，實現(xiàn)對應(yīng)用系統(tǒng)的用戶和組織機構(gòu)信息推送。3.2.2. 單點登錄集成. WSA集成方式Web安全代理（WSA），它為Web應(yīng)用系統(tǒng)提供訪問控制功能。一般來說

42、，它支持登錄、注銷、密碼修改和網(wǎng)址訪問控制服務(wù)。WSA是安裝在Web網(wǎng)絡(luò)服務(wù)器上的一個插件，它提供了以下功能：l 截取每一個到Web網(wǎng)絡(luò)服務(wù)器的請求；l 由AM服務(wù)器強制進行訪問控制，檢查每一個請求；. SDK集成方式采用該方式，各應(yīng)用沿用自己的登錄頁面。提供標(biāo)準(zhǔn)的XML-RPC和SOAP API接口，應(yīng)用系統(tǒng)開發(fā)人員通過調(diào)用接口，實現(xiàn)統(tǒng)一認證與單點登錄。針對不同開發(fā)語言，例如Java, ActiveX COM 或Microsoft .NET，提供相應(yīng)的API包裝程序以包裝核心XML-RPC層。. SAML協(xié)議標(biāo)準(zhǔn)協(xié)議集成方式AM提供標(biāo)準(zhǔn)SAML集成方式，其中AM作

43、為IDP，應(yīng)用系統(tǒng)作為SP，具體認證流程圖如下：3.3. 主用戶同步機制3.3.1. 統(tǒng)一數(shù)據(jù)源服務(wù)AM支持的標(biāo)準(zhǔn)的統(tǒng)一用戶源主要為AD、LDAP和JDBC;此外，作為最完整的用戶信息庫，AM可提供統(tǒng)一的WEBSERVICE接口向上或向下向各系統(tǒng)提供人員信息源和賬號信息源數(shù)據(jù)。3.3.2. 數(shù)據(jù)同步服務(wù)數(shù)據(jù)同步一般包括“推”和“拉”兩種數(shù)據(jù)同步方式：1、 針對上游可信數(shù)據(jù)源的數(shù)據(jù)同步，例如對HR系統(tǒng)可信用戶數(shù)據(jù)的同步，一般采用“拉”的數(shù)據(jù)同步方式，通過AM專屬連接器工具監(jiān)聽上游數(shù)據(jù)庫變化情況，并通過定時任務(wù)將數(shù)據(jù)同步到本地數(shù)據(jù)庫中。2、 針對下游數(shù)據(jù)源的數(shù)據(jù)同步，例如對應(yīng)用系統(tǒng)數(shù)據(jù)的同步，一般

44、采用“推”的數(shù)據(jù)同步方式，通過相應(yīng)的數(shù)據(jù)庫連接器工具將數(shù)據(jù)直接同步到應(yīng)用系統(tǒng)數(shù)據(jù)庫中。如果應(yīng)用系統(tǒng)方面不希望采用數(shù)據(jù)庫同步方式，也可以通過調(diào)用WEBSERVICE接口獲取用戶信息。3.4. 用戶屬性自定義、用戶信息傳遞l AM產(chǎn)品支持用戶屬性自定義擴展；l 通過連接器可以實現(xiàn)不同數(shù)據(jù)庫之間的屬性映射功能；3.5. SAML協(xié)議和OAUTH協(xié)議使用，選擇和考慮3.5.1. SAML協(xié)議說明SAML即安全斷言標(biāo)記語言，英文全稱是Security Assertion Markup Language。它是一個基于XML的標(biāo)準(zhǔn)，用于在不同的安全域(security domain)之間交換認證和授權(quán)數(shù)據(jù)。

45、如果用戶需要跨平臺訪問其他應(yīng)用系統(tǒng)時通過聯(lián)邦認證實現(xiàn)單點登陸。詳見下圖：. SAML與WSA融合模式統(tǒng)一認證授權(quán)的網(wǎng)頁端采用SAML與WSA融合模式： 為簡化業(yè)務(wù)系統(tǒng)處理SAMLResponse的難度，WSA中添加了對SAMLResponse的處理機制； WSA將自動對SAMLResponse進行簽名認證等處理； WSA將自動解析SAMLResponse，并將相關(guān)屬性、用戶組信息封裝到header中； 通過header進行屬性傳遞，方便業(yè)務(wù)系統(tǒng)的調(diào)用； 此種方式需要SP中部署有AM5；. SAML和OAuth協(xié)議用戶統(tǒng)一認證授權(quán)的用戶登錄過程，一般可細分為認證與授權(quán)兩個過程：n 統(tǒng)一認證ü 校驗用戶名是否存在ü 校驗密碼是否正確ü 強認證方面認證ü 代表協(xié)議 SAMLn 統(tǒng)一授